Inhaltsverzeichnis
Werbung
Wie arbeitet eine SA?
IPsec
Aufbau und Ablauf
Printserver Benutzerdokumentation
Bei Verwendung einer SA müssen die Parameter des Tunnels defi-
niert werden. Wenn ein Paket durch einen nicht existenten Tunnel
(SA) gesendet werden muss, nimmt der Printserver Kontakt zum ent-
sprechenden Remote-Server auf.
Im sogenannten 'Main Mode' sendet der Printserver zuerst seine
Vorschläge über die Parameter des Tunnels. Der Remote-Server sucht
sich einen Vorschlag aus und sendet diesen zurück.
Alternativ kann der 'Aggressive Mode' verwendet werden, der annä-
hernd die gleiche Funktionalität bietet, aber mit weniger Paketen
auskommt. (Der 'Aggressive Mode' ist weniger sicher und sollte nur
verwendet werden, wenn die Remote IP-Adresse bekannt ist.)
Anschließend werden Informationen für die Authentifizierung des
Remote-Servers und die Einigung auf einen gemeinsamen Schlüssel
(Diffie-Hellman Algorithmus) übertragen.
Bei der Authentisierung kommen zwei unterschiedliche Verfahren
zum Einsatz:
• Authentisierung via 'Pre-Shared Keys' (PSK) oder eine
• zertifikatsbasierte Authentisierung
Nach dem Printserver und Remote-Server die SA Parameter definiert
haben, werden die zu verschlüsselnden IP-Datenpakete mit dem Pro-
tokoll ESP (wahlweise zusammen mit dem AH Protokoll) durch die
SA gesendet.
Desweiteren wird 'Internet Key Exchange' (IKE) als Protokoll zum
Schlüsseltausch bzw. zur Schlüsselverwaltung gemeinsam mit dem
'Internet Security Association and Key Management Protocol'
(ISAKMP) verwendet.
Der Kernel unterhält zwei Datenbanken zur Verwendung von IPsec.
• Security Policy Database (SPD)
Der Kernel referenziert auf die SPD, um zu entscheiden, ob bei
einem IP-Datenpaket IPsec, anzuwenden ist oder nicht. Zudem
enthält die SPD Einträge, die definieren, welche IPsec-SA und in
welcher Form eine IPsec-SA anzuwenden ist.
• Security Association Database (SAD)
Die SAD enthält die Schlüssel für jede IPSec-SA.
Internet Protocol Security (IPsec)
155
Werbung
Inhaltsverzeichnis
